Novo recurso do Microsoft Teams expõe os usuários a riscos de phishing e malware – Against Invaders – Notícias de CyberSecurity para humanos.

Novo recurso do Microsoft Teams expõe os usuários a riscos de phishing e malware - Against Invaders - Notícias de CyberSecurity para humanos.

A Microsoft está preparada para lançar uma atualização significativa para o Teams, permitindo que os usuários iniciem bate-papos com qualquer pessoa usando apenas um endereço de e-mail, mesmo que o destinatário não seja um usuário do Teams.

Embora o recurso, lançado em alvos lançamentos até o início de novembro de 2025 e globalmente até janeiro de 2026, promete conectividade expandida nas plataformas Android, desktop, iOS, Linux e Mac, os especialistas em segurança estão expressando sérias preocupações sobre os riscos de segurança introduzidos por esta mudança.

A força motriz por trás desta atualização é a flexibilidade: as organizações podem comunicar facilmente com contactos e parceiros externos, aumentando a produtividade em ambientes de trabalho híbridos.

Os convidados recebem um convite por e-mail e participam da conversa como usuários externos, todos regidos por Microsoft Entrada Políticas de hóspedes B2B.

Este recurso habilitado por padrão quebra barreiras de comunicação de longa data, refletindo a intenção da Microsoft de agilizar a colaboração entre empresas.

No entanto, esta mesma ampla acessibilidade aumenta substancialmente a superfície de ataque para as organizações.

Ao permitir bate-papos com qualquer endereço de e-mail externo – sem validação ou verificação prévia – o novo recurso torna-se suscetível a abusos por parte de atores mal-intencionados.

As campanhas de phishing são a principal ameaça: os invasores podem facilmente criar convites de “solicitação de bate-papo” com aparência legítima, enganando os destinatários para que cliquem em links maliciosos ou revelem informações confidenciais.

Explorando o limite de confiança

O potencial para ataques de engenharia social dispara. Um cibercriminoso que se faça passar por um parceiro de negócios ou cliente conhecido pode induzir um funcionário a compartilhar credenciais ou informações confidenciais, tudo sob o pretexto de um bate-papo do Teams.

Pesquisadores de segurança apontam que esse vetor de ataque reflete de perto as táticas observadas no OAuth campanhas de phishingonde os adversários falsificam com sucesso serviços confiáveis ​​para coletar dados e aumentar privilégios.

Os especialistas de campo também observam que, embora os convidados externos permaneçam confinados dentro dos limites do Teams da organização, o risco de exposição inadvertida de dados é significativo.

Os funcionários podem vazar inadvertidamente informações proprietárias ou regulamentadas – como propriedade intelectual ou dados protegidos pela conformidade com o GDPR – se forem enganados por um imitador sofisticado.

Outra grande preocupação de segurança envolve a distribuição de malware. Os arquivos trocados dentro do Teams nem sempre são filtrados pelas medidas tradicionais de segurança de email.

Os invasores que exploram o recurso de convidado podem disseminar diretamente documentos ou links infectados, introduzindo ransomware ou spyware em bate-papos organizacionais.

Com o Teams atuando como veículo de ataque, as organizações podem enfrentar um risco maior de entrada não detectada de malware e movimentação lateral em suas redes.

Mitigações

A Microsoft reconhece o impacto significativo deste recurso, incentivando os administradores a atualizarem a documentação interna e os processos de suporte para a mudança.

No entanto, a ativação padrão pode fazer com que algumas organizações percam ajustes cruciais – potencialmente ecoando descuidos como os observados no Violação SolarWindsonde as configurações padrão contribuíram para um comprometimento generalizado.

Para manter o controle, os administradores do Teams podem desativar essa opção de bate-papo externo usando o PowerShell, definindo o atributo UseB2BInvitesToAddExternalUsers em TeamsMessagingPolicy como falso – travando novamente as portas digitais e restringindo o acesso a conexões B2B verificadas.

Os especialistas aconselham ainda a aplicação autenticação multifatorconduzindo revisões regulares de políticas e complementando com treinamento direcionado de conscientização dos usuários para fortalecer as defesas contra ataques de phishing.

À medida que o Microsoft Teams expande as suas capacidades de comunicação, a importância da segurança proativa não pode ser subestimada.

Embora permitir uma colaboração contínua seja crucial nas empresas modernas, é necessária vigilância para garantir que conveniência não equivale a vulnerabilidade.

As organizações devem adaptar-se rapidamente, implementando políticas robustas e educação dos utilizadores para evitar que esta nova funcionalidade se torne a próxima porta de entrada para explorações cibercriminosas.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.